Активность

Лента обновляется автоматически     

  1. Последняя неделя
  2. Essence

    Макросы

    Любые виды макросов(для оружия, анти афк, различные макросы для фарма). Пишу под заказ, лично под вас. Цена одного макроса - 70 руб 5 макросов - 300 руб
  3. В наличии много аккаунтов с оружием серии "Гидра" сроком "навсегда" на сервере альфа. Так же есть аккаунт с ктаром на альфе 1 аккаунт с крисом "гидра" на чарли Все аккаунты 11-13 ранга. Цена за акк с "гидрой" (пушку выбираете сами) - 600 руб акк с ктаром - 250 руб
  4. Ещё раньше
  5. Essence

    Песок Warface

    Ну как сказать... Лишние действия просто надо делать, а так норм все)
  6. Приватный материал по заработку на Дзене 9 февраля 2020 от metory Приветствую всех ! Решил поделится с вами приватным материалом по заработку на этой платформе. Для тех, кто не знает что такое Яндекс.Дзен - это платформа, на которой можно читать и создавать интересные истории. Здесь есть статьи, видео и нарративы от блогеров и популярных личностей. В общем, зарабатывать тут можно довольно неплохо и самое главное - это может каждый. Скачать
  7. Essence

    Песок Warface

    Привет боец! Наверное ты сталкивался с проблемой что тебя не берут в клан из-за маленького у/с или во время игры увидел красивое достижение и захотел заполучить такое же. Я с легкостью помогу тебе! Любой вид фарма на пвп (штурмы, победы и т.д. и т.п.) - легко. Для осуществления фарма вы должны оплатить услугу, необходимую вам и выбрать 1 из 3 вариантов.... 1)Вы возьмете двух моих твинков в клан. 2)Выйдете из своего клана и вступите ко мне. 3)Попросите ваших сокланов позапускать. Это необходимо из-за недавнего фикса учета статистики в созданных комнатах. Сейчас фарм возможен только на клан варах. Прайс: 1 штурм(1000+- убийств) - 200 рублей 1 победа - 1 рубль 100 взрывов бомб - 300 руб 5000 точек на доминации - 800 рублей Так же возможны и другие услуги, которые обговариваются лично. Сам фармлю уже более года и мой аккаунт можете увидеть на скрине. Мои контакты: https://vk.com/chetkiychelik
  8. Поговорим о том как школьник заработал бабла будучи фрилансером Раньше школьники зарабатывали на продаже газет и расклейке объявлений. Интернет значительно упростил эту задачу. Александр Ларионов рассказал, как начал получать хороший доход ещё в школе, живя в деревне. далее от лица автора Меня зовут Саша Ларионов, мне 19, и я — коммерческий автор на фрилансе. Три года назад я писал слабые тексты на заказ, а сейчас помогаю компаниям делать хорошие одностраничные сайты и наполнять сайт полезными материалами. Я работаю в свободном графике, не хожу в офис и сейчас в среднем зарабатываю примерно 30 тысяч в месяц при загрузке в 3–4 часа на рабочий день. На это мне потребовалось три года, но если учесть мои ошибки, прийти к такому результату можно гораздо быстрее. Вот как это получилось у меня. Как я стал фрилансером Кто-то в 16 лет ведёт себя рационально: выбирает будущую профессию, оценивает востребованность, ходит на курсы и набирает знания, готовясь к поступлению в нормальный вуз. Я в 16 лет так не мог. Я сидел дома, писал рассказы и спорил с людьми в интернете, потому что кто-то опять был неправ. В один момент мне просто надоело брать у родителей деньги на карманные расходы и я решил узнать, как можно заработать в интернете. Оказалось, что ищут специалистов по дизайну, программистов, аналитиков, верстальщиков, авторов и много кого ещё. Я не умею рисовать, мне неинтересно программировать и я совершенно ничего не понимаю в аналитике. А вот писать тексты на заказ можно попробовать. Так я стал фрилансером. Фрилансом можно назвать всё, что попадает под понятие «проектная работа». Электрики и юристы, сантехники и бухгалтеры, даже таксисты, «работающие на себя», тоже подходят под определение фрилансера. На деле фриланс получается таким «бизнесом на одного человека», со своими плюсами и минусами: С вышеперечисленным так или иначе сталкиваются все фрилансеры. Одни умудряются вытащить плюсы, другие — нет. Например, мне трудно держать режим, поэтому статью я пишу в четыре утра. Я лягу спать только через восемь часов. Даже в 19 лет это отражается на состоянии, но я не могу удержать режим в норме. Каждый раз меня это бесит, и я каждый раз сбиваю его обратно. Но предотвращать такие ситуации я ещё не научился. Зато у меня не было проблем с окружением — я и до фриланса контактировал только с семьёй. Родители, конечно, поначалу смотрели на фриланс скептически, но пробовать новые занятия не мешали. Лично меня фриланс социализировал и познакомил с классными людьми, развил ответственность и научил правильно расставлять приоритеты. Мне оказалось в кайф: у меня много энергии и я хочу, чтобы моя работа где-то была и что-то значила. Если бы мне было проще жить по схеме «пришёл на работу → сделал работу → ушёл с работы и забыл о ней до следующего дня», то фриланс бы мне не подошёл. Сколько удалось заработать на бирже копирайтинга Мой путь фрилансера начался с биржи копирайтинга — места, где люди заказывают тексты для сайтов или блогов по 5–500 ₽ за штуку. Выбор небольшой: в лучшем случае приходится описывать товары в интернет-магазинах, в худшем — писать бессмысленные тексты страниц на пять. Заказы есть всегда, и на хлеб с маслом, но без икры можно заработать за 6–8 часов ежедневной работы. На бирже я провёл 8 месяцев. За это время я получил что-то около 35 000 ₽. 4000 ₽ в месяц, да.. Статистика по третьему месяцу на бирже вполне показательна. Кстати, никогда не покупайте PRO-аккаунт, толка от него нет. :) Обстановка на бирже тоже удручающая: оплата маленькая, чтобы заработать хотя бы на прожиточный минимум, нужно без остановки стучать по клавиатуре, не особо вдумываясь в то, что пишешь. Поэтому в интернете столько неграмотных бредовых статей — копирайтерам некогда искать информацию, им бы побольше написать, чтобы больше получить. Я не люблю работу без смысла, поэтому с биржи ушёл. Я поступил неправильно: мне нужно было уйти через пару недель. Вместо этого я потратил больше полугода на работу за гроши без профессионального развития. Самостоятельный поиск заказов Я знал, что можно зарабатывать больше, но не знал, как. В попытках это выяснить я прочёл кучу книг, вступил в группы копирайтеров в соцсетях и подписался на рассылки специалистов по копирайтингу. В группах клиенты публиковали заказы, иногда я откликался и получал небольшое задание. Но это немногим отличалось от того, что я делал раньше — я чувствовал, что делаю пустую работу, и это мне дико не нравилось. За это время я упустил опыт, деньги и десятка четыре контактов. Хотя я мог: Сделать нормальное портфолио — взять чужие тексты и отредактировать их. Показать «до» и «после». Когда есть портфолио, можно попробовать написать статью для популярных изданий: прийти к ним и сказать: «Здравствуйте, меня зовут Саша Ларионов, я автор. Мне нравится издание, я хочу писать для вас классные тексты, вот портфолио». Можно прийти в агентства. Можно выйти на редакторов агентств и прийти к ним лично. Можно дать горстку объявлений на фейсбуке и получить ворох заказов. Получить опыт у профессионалов и прокачать навыки. Иногда находятся должности со «взрывным ростом»: пару месяцев назад один редактор искал себе помощника. Он обещал, что через год из начинающего редактора (или, возможно, опытного автора) сделает крутого специалиста. За год. Зная уровень того редактора, я на 95% уверен, что у него получится. Можно было поискать такие вакансии. Найти работу в интернет-агентстве. Можно стучаться во все небольшие интернет-агентства и делать работу попроще. Можно до упора забить себя работой и клепать однотипные тексты. Можно забить не до упора и дальше учиться или искать проекты. Я не сделал ничего из этого. Я просто пытался писать, иногда публиковался и получал неплохие деньги за разовые публикации, которые в перспективе пары месяцев становились позорной мелочью. Самообразование и практика не прошли даром — спустя 40 написанных текстов, два пройденных курса и сотни прочитанных статей я понял: клиент готов хорошо оплачивать текст, который решит какую-то бизнес-задачу: поможет человеку разобраться с сервисом, подвигнет подписаться на рассылку или заказать товар в магазине. Тексты о продуктах и услугах мне показались сложным и ответственным делом — чтобы продавать напрямую, надо хоть немного шарить в маркетинге и психологии продаж, поэтому с ними я пока решил не работать. А вот информационные тексты для блогов были мне по силам — и я решил, что буду писать только полезные статьи, с проверенной информацией. Думаете, что с этого момента я стал хорошо зарабатывать и заказы полились рекой? Нет. Потому что из-за своих убеждений я отказывался от заказа, как только мне казалось, что у нас с клиентом разные подходы и несовпадение взглядов. Сейчас я понимаю, что это не так — просто я не знал, как правильно обсудить задачу и выяснить, что на самом деле хочет клиент и какой текст ему нужен. Я снова наступил на грабли и потерял кучу времени. Но зато понял, что написать текст — это полдела. Главное — разобраться в задаче и понять клиента. Как получилось повысить стоимость своей работы Я решил, что на статьях далеко не уехать — и записался на пару курсов по маркетинговому анализу и проработке смыслов в текстах, которые должны продавать. У меня не было ни портфолио, ни опыта, но рано или поздно должны были появиться люди, которым понадобились бы эти навыки. И они появились — за год только маркетинговыми текстами я «отбил» курс, который стоил 25 000 ₽, и собрал небольшое портфолио. У меня появились новые клиенты, и не потому, что я стал намного круче. Я просто сделал то, что нужно было сделать два года назад — начал слушать клиента и понимать, что именно он хочет. Если раньше я отказывался работать из-за требований или несовпадения взглядов на текст — сейчас я соглашаюсь. Спустя год я нашёл пару регулярных проектов, стал чаще писать по хорошим ценам — 5–10 000 ₽ за статью. Я даже написал несколько статей в классное нишевое издание WebPromoExperts. У меня уже нет проблемы в стиле «если я за неделю ничего не найду, мне придётся брать деньги у родителей». Сейчас у меня есть проблема из серии «если я за следующие три дня не сдам пять текстов, начнётся адовый треш». Это не означает, что я уже стал крутым автором, которого хотят заполучить все мировые издания — мне ещё надо многому учиться. Но я уже знаю, что надо делать, и допускаю меньше ошибок. Что делать, если вы хотите попробовать фриланс 1. Определите свою нишу. Что вы любите, что вам интересно: писать тексты, вести социальные сети или придумывать дизайн сайта. 2. Поищите бесплатные видео или курсы по этой теме. 3. Найдите сообщества в соцсетях, где общаются специалисты по выбранной теме — их много во ВКонтакте и в Фейсбуке. Найти можно через поиск по ключевому слову. Например, «дизайн» или «копирайтинг». 4. Выполните несколько простых заданий за небольшую плату — сначала вам нужно понять, как это всё работает и что надо делать. 5. Прокачивайте навыки — проходите курсы, читайте профильную литературу, общайтесь с коллегами. Чем выше уровень — тем больше оплата. И не опускайте руки, если что-то не получается — сразу и не выйдет. Ошибки — это опыт.
  9. Красивый, универсальный и адаптивный шаблон SSGV2. Выполнен в стиле панели управления, удобная и адаптивная боковая панель позволяет легко управлять контентом. Всё тот же плоский дизайн FLAT предаст вашему сайту немного уникальности и минимализма. Адаптивная OWL карусель, Иконки FontAwesome версии 4.7.0. Изменена страница расширенного поиска в php коде. Авторизация и панель пользователя выведены в модальное окно. Реализована карусель для видеоканала YouTube. и т д. Подробное описание, и информацию о установке модулей и php правках будет в архиве. ДОПОЛНЕНИЯ Удобный список зарегистрированных пользователей Онлайн чат Версия DataLife Engine 11.x и выше Тематика шаблона Новости, Универсал Применяемая кодировка UTF-8 / Win-1251 Фреймворк, основа Bootstrap ssgv2.rar
  10. Одним прекрасным солнечным майским утром мой завтрак был прерван телефонным звонком друга — предпринимателя, занимавшегося перевозками грузов. Нервным голосом он рассказал, что с его банковского счета куда-то пропали 2 миллиона рублей. А в службе поддержки банка развели руками, отправив товарища писать заявление в полицию, поскольку денежные переводы были совершены с помощью мобильного приложения и подтверждены через SMS, что по всем признакам выглядит вполне легальной финансовой операции. «Ты же программист, — простонал в трубку мой друг, — посоветуй, что делать». К сожалению, что-то делать было уже поздно, ибо инструментом для кражи денег послужил банковский троян (банкер), обосновавшийся на телефоне моего приятеля задолго до этого досадного инцидента. И предотвратить пропажу денег было можно, лишь заранее изучив принципы работы и методы борьбы с таким видом вредоносных приложений. Чем мы в сегодняшней статье и займемся. Банковские трояны раньше Первые полноценные банковские трояны для мобильной платформы Android были обнаружены еще в 2011 году. Нет, вредоносы, способные передавать злоумышленникам входящие SMS-сообщения, в том числе содержащие mTAN-коды (коды аутентификации транзакций), существовали и до этого. Кроме того, были известны трояны, умеющие оперировать USSD-командами. Они могли перевести заданную злодеями сумму с «привязанной» к телефону банковской карты, пополнив баланс левого мобильного телефона, или узнать остаток средств на счете. Но полноценными банковскими троянами, конечно же, не были, поскольку заметно уступали по функциональным возможностям своим десктопным аналогам. Все изменилось с появлением Android.SpyEye. Этот трой работал в связке с вредоносом SpyEye для Windows, благодаря чему обрел способность обходить двухфакторную аутентификацию. Действовал он следующим образом. Как только пользователь зараженной винды открывал в браузере банковский сайт, работающий на компе трой выполнял веб-инжект, встраивая в страницу кусок HTML-кода, который он подгружал из конфига. Поскольку инжект осуществлялся на стороне клиента, URL банковского сайта в адресной строке браузера оказывался корректным, а соединение было установлено по протоколу HTTPS. Поэтому содержимое веб-страницы не вызывало у жертвы никаких подозрений. Текст, встроенный трояном в банковский сайт, гласил, что банк внезапно изменил условия работы и для авторизации в системе банк-клиент необходимо установить на мобильный телефон небольшое приложение размером около 30 Кбайт, скачав его по предложенной ссылке — «в целях безопасности». Приложением, естественно, был мобильный трой Android.SpyEye. Эта вредоносная программа не создавала никаких значков, ее можно было отыскать только в списке работающих процессов под названием «Система». Основная задача троя — перехват всех входящих SMS-сообщений и пересылка их на управляющий сервер, адрес которого вредонос брал из XML-конфига. Когда жертва вводит логин и пароль на банковском сайте в окне браузера, Windows-троян SpyEye перехватывает и отправляет их ботоводам. После этого злоумышленники в любой момент могут авторизоваться с помощью этих данных в системе банк-клиент на сайте банка, однако сервер обязательно отправит владельцу счета проверочный код в SMS, который нужно ввести в специальную форму. Это сообщение будет перехвачено мобильной версией SpyEye и передано вирусописателям. Используя перехват SMS, они смогут выполнять любые операции по счету, например опустошить его подчистую. Примерно так выглядит схема работы первого мобильного банковского трояна SpyEye Узким местом этой довольно сложной схемы была необходимость синхронизации работы банковского и десктопного компонентов троянской связки, однако указанную проблему вирусописателям удалось успешно решить. Несколько месяцев SpyEye наводил шорох среди пользователей банковских сервисов, пока не попал в базы всех популярных антивирусов, после чего его деятельность постепенно сошла на нет. Банковские трояны сегодня Спустя какое-то время сотрудники IT-отделов банков понемногу освоили веб-программирование, и банк-клиенты окончательно перекочевали с десктопов в мобильные телефоны в виде Android-приложений. Это значительно облегчило жизнь вирусописателям: у них отпала необходимость заморачиваться с троянами под винду, и они смогли наконец полностью сосредоточить свои усилия на разработке мобильных банковских троянов. Ведь владелец Android-смартфона с банковским приложением на борту — это ходячий кошелек, опустошить который мечтает каждый уважающий себя вирмейкер. Как и прочие вредоносы для Android, банковские трояны распространялись под видом каких-либо полезных программ — «универсальных видеокодеков» или проигрывателей Flash, в том числе через официальный каталог Google Play. Троянская функциональность таких приложений, естественно, не афишировалась разработчиками, и проявлялась она либо спустя какое-то время, либо после загрузки очередного обновления. Так, в одном из случаев банковский троян раздавался в виде программы, якобы объединяющей в себе возможности банк-клиентов сразу нескольких крупных кредитных организаций. Зачем вам куча отдельных приложений, когда вместо них можно скачать одно, с трояном? Также известны случаи, когда вредоносы встраивались в подлинные приложения некоторых банков, модифицированные злоумышленниками. Такие приложения распространялись с поддельных страниц банков, оформленных в точности как настоящие, а жертв на них завлекали рассылками фишинговых писем. Еще один вектор распространения мобильных банковских троянов — фишинговые SMS-рассылки. Обычно это происходит так. Пользователю, зарегистрированному на одном из сайтов бесплатных объявлений, приходит SMS-сообщение с предложением обмена. При этом получателя называют по имени, что должно усыпить его бдительность, — вирусописатели предварительно распарсили базу пользователей этого сайта, вытянув оттуда всю полезную информацию. При переходе по короткой ссылке из сообщения потенциальная жертва направляется на промежуточную страницу, где определяется, что пользователь зашел на сайт именно с мобильного устройства под управлением Android, и выявляется его мобильный оператор, после чего происходит перенаправление на фейковую страницу с сообщением о поступлении MMS, оформленную в стилистике соответствующего ОПСОСа. После нажатия на кнопку начинается загрузка трояна. Первые мобильные банковские трояны работали очень просто. Если для функционирования вредоноса были нужны права администратора, он настойчиво демонстрировал на экране окно с требованием выдать ему соответствующие полномочия, до тех пор пока измученный пользователь не согласится на это действие. Но иногда вирусописатели шли на различные ухищрения, чтобы обмануть потенциальную жертву. Например, банковский троян Android.BankBot.29 маскировал окно запроса прав администратора под сообщение приложения Google Play: «Ваша версия устарела, использовать новую версию?» При попытке пользователя нажать на экранную кнопку «Да» layout трояна исчезал, и тап попадал на кнопку Accept диалогового окна DeviceAdmin, в результате чего вредонос получал администраторские привилегии. Еще один банковский троян доставал пользователей запросом на включение режима Accessibility Service — специальных возможностей для людей с ограничениями по здоровью. А получив такое разрешение, сам включал для себя админа. Сколько денег подобным образом было похищено со счетов пользователей Android, сказать трудно, но суммы здесь наверняка фигурируют шестизначные. Даже если троянам по какой-то причине не удавалось получить доступ к банковскому счету, они благополучно похищали реквизиты банковских карт. Для этого, например, широко использовались фейковые окна привязки карты к приложению Google Play. Приобрести что-либо ценное в приличных интернет-магазинах с использованием ворованных реквизитов непросто, а вот оплатить онлайн-игрушки или покупку музыки в каком-нибудь сервисе вполне возможно. Подобные сайты редко заморачиваются серьезной проверкой платежных реквизитов, поскольку транзакции там обычно копеечные. Чем и пользуются злоумышленники. Банкботы — разновидность банковского трояна Банкботы — это побочная ветвь эволюции мобильных банковских троянов. Если обычные банковские трои работают более-менее автономно, то банкботы способны получать различные управляющие команды и выполнять их на зараженном девайсе. Команды могут передаваться по HTTP, например в формате JSON, по SMS, а в некоторых случаях даже через специальный Telegram-канал. Большинство банкботов по команде включают или отключают перехват входящих SMS-сообщений, могут скрывать полученные SMS (прятать можно сообщения с определенных номеров или с заданными ключевыми словами), отключать звук мобильного телефона, отправлять сообщения на указанный злоумышленниками номер с заданным содержимым или выполнять USSD-команды. Также ботовод может изменить адрес управляющего сервера или системный номер телефона, на который будет пересылаться информация, если ее не удалось передать по HTTP. Многие банкботы также могут скачивать и устанавливать на мобильном устройстве APK-файлы, ссылку на которые укажет в команде ботовод. В результате на зараженный девайс попадают другие трояны, имеющие более широкий ассортимент функций. Также некоторые банкботы умеют отображать на экране смартфона активити с присланными злодеем параметрами — это открывает широчайшие возможности для фишинга и реализации самых изощренных мошеннических схем. Ну и почти все такие вредоносы умеют сливать на командный сервер адресную книгу, SMS-переписку и прочие конфиденциальные данные, а также переадресовывать входящие звонки на заданный в команде телефонный номер. Отдельные экземпляры троянов ко всему прочему обладают функциями самозащиты: они отслеживают имена работающих в системе процессов и при обнаружении антивируса пытаются выгрузить его, используя права администратора. Практически все банкботы используют веб-админку, предоставляющую ботоводам подробную статистику по инфицированным девайсам и похищенной на них информации. Распространение банковских троянов С распространением мобильных устройств на Android производство троянов для этой платформы стало понемногу превращаться в самую настоящую подпольную индустрию. В полной мере коснулось это и банкеров. В даркнете стали появляться объявления о сдаче банковских троянов под Android в аренду, с предоставлением клиенту админки и технической поддержки. А затем начали распространяться билдеры, с использованием которых любой желающий без каких-либо навыков программирования мог соорудить банковского трояна, маскирующегося под выбранное приложение или определенную систему банк-клиент. Благодаря этому количество банковских троев примерно с 2017 года начало расти если не в геометрической прогрессии, то весьма заметно. И шансы подцепить подобную заразу у пользователей смартфонов на Android тоже значительно выросли. А с учетом того, что большинство подобных вредоносов работает с привилегиями администратора, удалить их с устройства не так-то просто: для этого в лучшем случае придется запустить систему в безопасном режиме, в худшем — сбросить девайс к заводским настройкам со всеми вытекающими последствиями. Защита от банковского трояна Доказанный факт: даже отключение на телефоне возможности установки приложений из сторонних источников далеко не всегда защищает пользователя от проникновения банкеров. Случаев загрузки подобных вредоносов даже из официального каталога Google Play известно множество: технология проверки размещаемых там приложений все еще несовершенна. Кроме того, операционную систему Android отличает значительное количество уязвимостей, которые могут использоваться вирусописателями в своих, отнюдь не благородных целях. Защитить устройство от несанкционированного проникновения зловредов способны антивирусы, но вот устанавливать их или нет — личное дело самих пользователей Android. По крайней мере, мой приятель-коммерсант после инцидента с похищением денег решил больше не испытывать судьбу и скачал на свой телефон такую программу: лишней не будет.
  11. pretty_fucker

    NoSQLMap

    NoSQLMap — это инструмент на Python с открытым исходным кодом предназначенный для аудита и автоматических инъекционных атак и эксплуатаций слабостей (конфигураций с дефолтными учётными данными) в базах данных NoSQL, а также в веб-приложениях, использующих NoSQL, для вскрытия информации из базы данных. В настоящее время использование инструмента фокусируется на MongoDB, но в будущих релизах планируется поддержка таких NoSQL платформ как CouchDB, Redis и Cassandra. Текущие цели проекта — обеспечить инструмент тестирования на проникновение для облегчения атак на сервера MongoDB и веб-приложения, а также концепты атак для развенчания аксиомы, что NoSQL приложения непроницаемы для SQL инъекций. Возможности: Атаки автоматического перечисления и клонирования баз данных MongoDB и CouchDB. Извлечение имён баз данных, пользователей и хешей паролей из MongoDB через веб-приложения. Сканирование подсетей или списка IP в поисках баз данных MongoDB и CouchDB с доступом по умолчанию и перечисление версий. Атака по словарю и брут-форсом по взлому паролей выявленных хешей MongoDB и CouchDB. Инъекционные атаки на параметры PHP приложений для возврата всех записей базы данных. Функция экранирования величин Javascript и инъекции произвольного кода для возврата всех записей базы данных. Основанные на тайминге атаки, сходные со слепыми SQL инъекциями, для валидации уязвимостей инъекций Javascript с приложениями без обратной связи. Скоро ещё больше! Домашняя страница: http://nosqlmap.net/ Автор: Russell Butturini Лицензия: GPLv3 Справка по NoSQLMap Справка отсутствует, утилита не имеет опций командной строки, управление и установка опций осуществляется в интерфейсе похожим на Metasploit Framework. Руководство по NoSQLMap Страница man отсутствует. Использование Запустите так: NoSQLMap Для построения атак, NoSQLMap использует систему, основанную на меню. При старте NoSQLMap перед вами появится следующее меню: Для построения атак, NoSQLMap использует систему, основанную на меню. При старте NoSQLMap перед вами появится следующее меню: 1-Set options (do this first) [Установить опции (начните с этого)] 2-NoSQL DB Access Attacks [Атаки доступа к ДБ NoSQL] 3-NoSQL Web App attacks [Атаки на NoSQL веб-приложения] 4-Scan for Anonymous MongoDB Access [Сканировать на анонимный доступ к MongoDB] x-Exit [Выйти] Объяснение опций: 1. Set target host/IP [Установить целевой хост/IP]-Целевой веб-сервер (например, www.google.com) или сервер MongoDB, который вы хотите атаковать. 2. Set web app port [Установить порт веб-приложения]-TCP порт для веб-приложения, если целью является веб-приложение. 3. Set URI Path [Установить URI]-Часть URI, содержащая имя страницы и любой параметр, НО без имени хоста (к примеру, /app/acct.php?acctid=102). 4. Set HTTP Request Method (GET/POST) [Установить метод HTTP запроса]-Установить метод запроса на GET или POST; В настоящее время реализован только GET, но работа над реализацией POST запросов экспортирована из Burp. 5. Set my local Mongo/Shell IP [Установить IP локальной Mongo/Шелла]-Установите эту опцию для клонирования базы данных или открытия Meterpreter шэлла, если атака экземпляра MongoDB осуществляется на прямой IP целевой установленной Mongo. 6. Set shell listener port [Установить порт прослушивания шэлла]-Если открыт шэлл Meterpreter shells, укажите порт. 7. Load options file [Загрузить файл с опциями]-Загрузить предварительно сохранённый набор настроек для 1-6. 8. Load options from saved Burp request [Загрузить опции из запросов Burp]-Разобрать сохранённые от Burp Suite запросы и заполнить параметры веб-приложений. 9. Save options file [Сохранить файл с опциями]-Сохранить настройки 1-6 для будущего использования. x. Back to main menu [Назад в главное меню]-Используйте это, как только настроили опции для атаки. После настройки главных опций вернитесь в главное меню и выберите атаки доступа DB или атаки веб-приложения в соответствие с тем, что вы атакуете — порт под управлением NoSQL или веб-приложение. Примеры запуска NoSQLMap В Kali Linux: NoSQLMap В BlackArch: nosqlmap Установка NoSQLMap Установка в Kali Linux Для клонирования удалённой БД MongoDB на локальную машину нужна установленная MongoDB. git clone https://github.com/tcstool/NoSQLMap.git cd NoSQLMap sudo python setup.py install NoSQLMap Установка в BlackArch Программа предустановлена в BlackArch. Но для клонирования удалённой БД MongoDB на локальную машину нужна установленная MongoDB. Для её установки воспользуйтесь инструкцией «Установка MongoDB в Arch / BlackArch». sudo pacman -S nosqlmap python2-pip sudo pip2 install requests
  12. Спасибо за информацию) Статья по прежнему актуальна, еще бы хотел порекомендовать вот эту статью как можно обойти брандмауэры при сканировании nmap, там тоже много полезной информации) https://codeby.net/threads/kak-obojti-brandmauehry-pri-skanirovanii-nmap.67206/
  13. Многие пользователи и не догадываются, что заполняя логин и пароль при регистрации или авторизации на закрытом Интернет-ресурсе и нажимая ENTER, эти данные легко могут перехватить. Очень часто они передаются по сети не в защищенном виде. Поэтому если сайт, на котором вы пытаетесь авторизоваться, использует HTTP протокол, то очень просто выполнить захват этого трафика, проанализировать его с помощью Wireshark и далее с помощью специальных фильтров и программ найти и расшифровать пароль. Лучшее место для перехвата паролей – ядро сети, где ходит трафик всех пользователей к закрытым ресурсам (например, почта) или перед маршрутизатором для выхода в Интернет, при регистрациях на внешних ресурсах. Настраиваем зеркало и мы готовы почувствовать себя хакером. Шаг 1. Устанавливаем и запускаем Wireshark для захвата трафика Иногда для этого достаточно выбрать только интерфейс, через который мы планируем захват трафика, и нажать кнопку Start. В нашем случае делаем захват по беспроводной сети. Захват трафика начался. Шаг 2. Фильтрация захваченного POST трафика Открываем браузер и пытаемся авторизоваться на каком-либо ресурсе с помощью логина и пароля. По завершению процесса авторизации и открытия сайта мы останавливаем захват трафика в Wireshark. Далее открываем анализатор протоколов и видим большое количество пакетов. Именно на этом этапе большинство ИТ-специалистов сдаются, так как не знают, что делать дальше. Но мы знаем и нас интересуют конкретные пакеты, которые содержат POST данные, которые формируются на нашей локальной машине при заполнении формы на экране и отправляются на удаленные сервер при нажатии кнопки «Вход» или «Авторизация» в браузере. Вводим в окне специальный фильтр для отображения захваченных пакетов: http.request.method == “POST” И видим вместо тысячи пакетов, всего один с искомыми нами данными. Шаг 3. Находим логин и пароль пользователя Быстрый клик правой кнопки мыши и выбираем из меню пункт Follow TCP Steam После этого в новом окне появится текст, который в коде восстанавливает содержимое страницы. Найдем поля «password» и «user», которые соответствуют паролю и имени пользователя. В некоторых случаях оба поля будут легко читаемы и даже не зашифрованы, но если мы пытаемся захватить трафик при обращении к очень известным ресурсам типа: Mail.ru, Facebook, Вконтакте и т.д., то пароль будет закодирован: HTTP/1.1 302 Found Date: Mon, 10 Nov 2014 23:52:21 GMT Server: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.3.3 P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Set-Cookie: non=non; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/ Set-Cookie: password=e4b7c855be6e3d4307b8d6ba4cd4ab91; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/ Set-Cookie: scifuser=networkguru; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/ Location: loggedin.php Content-Length: 0 Connection: close Content-Type: text/html; charset=UTF-8 Таким образом, в нашем случае: Имя пользователя: networkguru Пароль: e4b7c855be6e3d4307b8d6ba4cd4ab91 Шаг 4. Определение типа кодирования для расшифровки пароля Заходим, например, на сайт http://www.onlinehashcrack.com/hash-identification.php#res и вводим наш пароль в окно для идентификации. Мне выдан был список протоколов кодирования в порядке приоритета: MD5 NTLM MD4 LM Шаг 5. Расшифровка пароля пользователя На данном этапе можем воспользоваться утилитой hashcat: ~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt На выходе мы получили расшифрованным пароль: simplepassword Таким образом, с помощью Wireshark мы можем не только решать проблемы в работе приложений и сервисов, но и также попробовать себя в роли хакера, осуществляя перехват паролей, которые пользователи вводят в веб-формах. Также можно узнавать и пароли к почтовым ящикам пользователей, используя незатейливые фильтры для отображения: Протокол POP и фильтр выглядит следующим образом: pop.request.command == "USER" || pop.request.command == "PASS" Протокол IMAP и фильтр будет: imap.request contains "login" Протокол SMTP и потребуется ввод следующего фильтра: smtp.req.command == "AUTH" и более серьезные утилиты для расшифровки протокола кодирования. Шаг 6. Что делать, если трафик зашифрован и используется HTTPS? Для ответа на этот вопрос есть несколько вариантов. Вариант 1. Подключиться в разрыв соединения между пользователем и сервером и захватить трафик в момент установления соединения (SSL Handshake). В момент установки соединения можно перехватить сеансовый ключ. Вариант 2. Вы можете расшифровать трафик HTTPS, используя файл журнала сеансовых ключей, записываемый Firefox или Chrome. Для этого браузер должен быть настроен на запись этих ключей шифрования в файл журнала (пример на базе FireFox), и вы должны получить этот файл журнала. По сути, необходимо похитить файл с ключом сессии с жесткого диска другого пользователя (что является незаконным). Ну а далее захватить трафик и применить полученный ключ для его расшифровки. Уточнение. Мы говорим о веб-браузере человека, у которого пытаются украсть пароль. Если же мы подразумеваем расшифровку нашего собственного HTTPS трафика и хотим потренироваться, то эта стратегия будет работать. Если вы пытаетесь расшифровать HTTPS трафик других пользователей без доступа к их компьютерам, это не сработает – на то оно и шифрование, и личное пространство. После получения ключей по варианту 1 или 2 необходимо прописать их в WireShark: Идем в меню Edit – Preferences – Protocols – SSL. Ставим флаг «Reassemble SSL records spanning multiple TCP segments». «RSA keys list» и нажимаем Edit. Вводим данные во все поля и прописываем путь в файлу с ключом WireShark может расшифровывать пакеты, которые зашифрованы с использованием алгоритма RSA. В случае если используются алгоритмы DHE/ECDHE, FS, ECC, сниффер нам не помощник. Вариант 3. Получить доступ к web-серверу, которым пользуется пользователь, и получить ключ. Но это является еще более сложной задачей. В корпоративных сетях с целью отладки приложений или контент фильтрации этот вариант реализуется на легальной основе, но не с целью перехвата паролей пользователей.
  14. AlexBox

    Приветствие

    Всем привет, меня зовут Леша. Я являюсь действующим администратором группы о консолях Вконтакте , соответственно, становится понятно, что это и есть моя специализация на этом форуме (Тут я состою в редактуре). Сейчас моя основная консоль - Xbox One X, кроме того обладаю PS4, PS3, PS2, Xbox 360, PSP, PS Vita, PSP GO. В своем разделе постараюсь максимально интересно рассказать о различных новостях, связанных с консолями семейства Xbox, да и вообще обо всем, что касается консолей. Буду рад каждому читателю, надеюсь, вам понравится. Кто со мной? Ссылки: Моя группа в вк, Metory в вк
  15. Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни администрация не несут ответственности за любой возможный вред, причиненный материалами данной статьи.Применение в корыстных целях карается законодательством РФ. Brute-force -это математический метод, сложность которого зависит от ряда всех возможных решений. Определение «грубая сила» обычно используется в контексте хакерских атак, когда злоумышленник пытается найти действительный логин/пароль для учетной записи или службы. Рассмотрим инструменты, которые можно использовать для атак грубой силы на SSH и веб-сервисы, доступные в Kali Linux (Patator, Medusa, THC Hydra, Metasploit) и BurpSuite. Все материалы, приведенные в данной статье, предназначены для образовательных целей. Использование материалов в незаконных целях запрещено. Brute-force SSH В качестве примера возьмем тестовую машину 192.168.60.50 и попробуем найти тестовый пароль пользователя с помощью SSH. Мы будем использовать популярные пароли из стандартного словаря rockyou.txt Patator Чтобы найти пароль с картофелем используйте команду: patator ssh_login host=192.168.60.50 user=test password=FILE0 0=/root/wordlist -x ignore:mesg=’Authentication failed’ где: ssh_login-это необходимый модуль; host — это наша цель; user-это логин пользователя, для которого найден пароль, либо файл содержит множество Логинов для многократного поиска; password — это словарь, содержащий пароли; X ignore: mesg=’Authentication failed’ — это команда не отображать строку, содержащую это сообщение. Параметр фильтрации выбирается индивидуально. THC Hydra Для майнинга паролей с помощью THC Hydra выполните команду: hydra -V -f -t 4 -l test -P /root/wordlist ssh://192.168.60.50 где: V-для отображения пары логин + пароль во время майнинга пароля; f-это остановка, как только будет найден пароль для указанного логина; P-это путь к словарю паролей; ssh: / / 192.168.60.50-это IP-адрес жертвы. Medusa Для майнинга паролей с помощью Medusa выполните команду: medusa -h 192.168.60.50 -u test -P /root/wordlist -M ssh -f -v 6 где: h- его жертва IP-адрес; u — это логин; P — это путь к словарю; M-это выбор модуля; F-это остановка, как только будет найдена действительная пара логин/пароль; v-это настройка отображения сообщения на мониторе во время майнинга паролей. Metasploit Найдите инструмент для атаки грубой силы с помощью SSH: search ssh_login Использовать модуль: use auxiliary/scanner/ssh/ssh_login Используйте команду Показать параметры для просмотра необходимых параметров. Для нас это: rhosts-это IP адрес жертвы; rport — это порт; username-это SSH логин; user pass_file-это путь к словарю; stop_on_success-это остановка, как только будет найдена пара логин/пароль; threads — количество потоков. Индикация необходимых параметров осуществляется с помощью команды «set». set rhosts 192.168.60.50 set username test set userpass_file /root/wordlist set stop_on_success yes set threads 4 set rport 22 Когда будут указаны необходимые параметры, введите команду «Выполнить» и подождите. Ограничьте количество установленных подключений с помощью брандмауэра. Пример настройки iptables в: -A INPUT -i eth0 -p tcp --dport 22 -m connlimit --connlimit-above 1--connlimit-mask 32 -j REJECT --reject-with tcp-reset. Это правило ограничит доступ к SSH для каждого IP-адреса до 1 соединения в секунду, что сделает грубую силу более сложной. Также эффективным решением может быть использование двухфакторной аутентификации (например, с помощью токена) или аутентификации с использованием инфраструктуры открытых ключей (PKI) и использование ACL на основе IP-адресов. BurpSuite Сначала необходимо разобраться в процессе авторизации. Для этого мы будем использовать Burp Suite. Чтобы проверить, какие запросы проходят через BurpSuite, мы должны попытаться авторизоваться с помощью любого пароля и логина. Молодцы, мы увидели пост запроса на авторизацию и будем с ним работать. В теле отмечено, какие логин и пароль были проверены, то есть мы можем попробовать заполнить необходимые значения. Передайте этот запрос злоумышленнику и выберите там необходимые параметры атаки. В точке полезной нагрузки позиции оставьте типа атаки снайпер, но для проверки оставьте параметр pwd только. Таким образом, только этот параметр будет меняться во время атаки. Скачайте необходимый словарь и начните атаку: По поведению веб-приложения мы видим, что неверный пароль возвращает код ответа 200. После словаря, грубой силы, мы видим, что один из паролей дал ответ код 302 — это пароль правильный. Этот метод занимает гораздо больше времени, чем при использовании Patator, THC Hydra, Medusa и др. Даже с учетом того, что мы использовали небольшой словарь, Burp Suite искал пароль около 40 минут. THC Hydra Давайте попробуем найти пароль с помощью THC Hydra. Как мы знаем, если авторизация является неправильной код 200, если авторизация является правильной код 302. Попробуйте использовать эту информацию. Для начала используйте команду: мydra -V -f -l admin -P /root/wordlist -t 4 http-post-form://192.168.60.50 -m “/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In&redirect_to=http%3A%2F%2F192.168.60.50%2Fwp-admin%2F&testcookie=1:S=302” Здесь мы будем заполнять необходимые параметры: I — это имя пользователя; P-это словарь паролей; t — это число потоков; http-post-form — это тип формы (в нашем случае POST); /wp-login.php-это URL страницы авторизации; ^^USER^ — показывает, где должно быть заполнено имя пользователя; ^PASS^ — показывает, где должен быть заполнен пароль из словаря; S=302-это указание, к которому относится ответ THC Hydra. В нашем случае, если авторизация прошла успешно ответ 302. Nmap Утилита Nmap позволяет производить майнинг паролей для авторизации веб-форм при использовании http-wordpress-brute с соответствующими аргументами: — script-args-это добавление аргументов; user или userdb-это логин или файл, содержащий логины; pass or passdb — это пароль или словарь признаков; thread -это ряд потоков; first only=true-для отображения результатов после первых правильных паролей. nmap 192.168.60.50 --script http-wordpress-brute --script-args ‘user= admin,passdb= /root/wordlist, http-wordpress-brute.thread=3, brute.firstonly=true’ Противодействие Ограничьте (усложните) атаки грубой силы на веб-приложения с использованием iptables (например, SSH) и инструментов Nginx: … limit_req_zone $binary_remote_addr zone=req_limits:10m rate=30r/s; … location / { … limit_req zone=req_limits burst=10; limit_req_status 429; … } Эти настройки позволят ограничить число запросов от одного IP-адреса до 40 в секунду. Чтобы запутать задачу интеллектуального анализа паролей, используйте следующий метод: использование брандмауэра и другого программного обеспечения для ограничения количества запросов к защищенной службе; использовать инструменты против быстрой проверки подлинности ключа (например Captcha). Вывод В этой статье мы поверхностно рассмотрели некоторые из популярных инструментов. Для снижения риска нападения грубой силы следуйте рекомендациям: использовать жесткий для взлома паролей; не создавать пароли с использованием личных данных, например дата рождения или имя+дата рождения или номер телефона; регулярно меняйте пароль; используйте разные пароли для каждой учетной записи. Не так много людей следуют этим рекомендациям (а также рекомендациям по безопасной веб-разработке), поэтому необходимо использовать различные программные решения: ограничить подключение по IP-адресу или, если это невозможно, ограничить одновременное количество подключений к серверу (используя iptables, Nginx и т. д.); использование двухфакторной аутентификации; обнаружение и блокировка этих атак с помощью SIEM, WAF или других инструментов (например fail2ban).
  16. Большинство приложений собирают ту или иную информацию о пользователе. Иногда данные необходимы программам для работы — например, навигатору нужна информация о вашем местоположении, чтобы проложить удобный маршрут. Также нередко разработчики используют информацию о вас для монетизации или улучшения сервиса — предварительно заручившись вашим согласием. Например, собирают анонимную статистику, чтобы понять, в каком направлении развивать программу. Однако некоторые разработчики могут злоупотреблять вашим доверием: собирать информацию, которая никак не связана с функциональностью их программы, и продавать ваши данные третьим лицам, причем нередко втайне от вас. По счастью, в Сети есть сервисы, с помощью которых вы можете вывести такое приложение на чистую воду. Сервис AppCensus Сервис AppCensus дает возможность узнать, какие личные данные и куда отправляет приложение. Для этого применяется метод динамического анализа: программу устанавливают на реальное мобильное устройство, предоставляют ей все запрашиваемые разрешения и активно используют ее в течение определенного промежутка времени. При этом специалисты сервиса отслеживают, какие данные, кому именно и в каком виде — зашифрованном или незашифрованном — она отправляет. Такой подход позволяет получить результат, отражающий реальное поведение приложения. Если вас что-то смущает в той информации, которую может выдать AppCensus, вы сможете отказаться от программы и поискать более скромный аналог, не пытающийся разнюхать о вас слишком много. Однако информация на AppCensus может оказаться неполной: программу тестируют лишь ограниченное время, а часть функций приложения может активироваться далеко не сразу. К тому же AppCensus изучает только бесплатные и общедоступные Android-приложения. Сервис Exodus Privacy В отличие от AppCensus, Exodus Privacyизучает не поведение, а само приложение. В частности, сервис оценивает разрешения, которые запрашивает программа, и ищет встроенные трекеры — сторонние модули, предназначенные для сбора данных о вас и ваших действиях. Как правило, разработчики добавляют в свои приложения трекеры рекламных сетей, с помощью которых те пытаются узнать вас как можно лучше и показывать персонализированные объявления. Сейчас сервису известно более 200 видов таких трекеров. Что касается разрешений, то Exodus Privacy оценивает их с точки зрения опасности для вас и ваших данных. Если приложение запрашивает доступы, которые могут угрожать приватности или нарушить защиту устройства, сервис это отметит. Если вам кажется, что потенциально опасные разрешения не нужны приложению для нормальной работы, лучше их ему не выдавать. В случае необходимости вы сможете расширить его права позже. Секретики приложений Пользоваться обоими сервисами очень просто. Достаточно ввести название программы в поле поиска — и вы получите исчерпывающую информацию о том, какими данными она интересуется и куда их отправляет. В отличие от AppCensus, Exodus позволяет не только выбирать приложения из списка, но и самостоятельно указывать, какие программы взять из Google Play для изучения на вкладке New analysis. Мы взяли для примера селфи-камеру с 5 миллионами установок из Google Play. Exodus Privacy показывает, что она использует четыре рекламных трекера и требует доступ не только к камере, но и к местоположению устройства, которое для ее работы не то чтобы обязательно (в теории она может делать это из благих побуждений — чтобы прописывать геометки в EXIF-данные фотографий), и к информации о телефоне и звонках, которая ей уж точно ни к чему. Анализ того же приложения, предложенный AppCensus, только добавляет вопросов: по данным сервиса, селфи-камера не просто получает доступ к местонахождению вашего смартфона или планшета, но и отправляет эту информацию вместе с IMEI (уникальным идентификатором вашего устройства в сотовой сети), MAC-адресом (еще одним уникальным номером, по которому устройство можно опознать в Интернете и локальных сетях) и Android ID (номером, который присваивается вашей системе при первом запуске) на некий китайский IP-адрес в незашифрованном виде. То есть про благие побуждения можно забыть. Получается, что к данным, по которым можно однозначно отслеживать перемещения вашего гаджета, получает доступ кто-то в Китае, а еще кто угодно может перехватить их при передаче. Кому эти данные продаются или передаются — тоже хороший вопрос. При этом в политике приватности разработчики заявляют, что не собирают личных данных о пользователе и не передают никому информацию о местоположении устройства. Можно ли защититься от слежки? Как видите, популярное приложение с ничем не примечательной политикой приватности может подвергать опасности чувствительные данные. Поэтому мы рекомендуем относиться к мобильным программам с осторожностью: Не устанавливайте приложения на устройство просто так. Они могут следить за вами, даже если вы ими не пользуетесь и не открываете. А если уже установленная программа вам не нужна, удалите ее. Перед установкой неизвестных вам приложений проверяйте их при помощи сервисов AppCensus и Exodus Privacy. Если результат анализа вас смутит, откажитесь от программы и поищите другую.
  17. Shadowsocks является открытым исходным кодом программное обеспечение , которое скрывает или искажает интернет - соединения. Он широко используется в Китае для обхода цензуры в Интернете. Он был создан в 2012 году китайским программистом по имени «clowwindy», и с тех пор стало доступно несколько реализаций протокола. Недавно Great Firewall начал блокировать серверы Shadowsocks так же, как они блокируют VPN-серверы. В Китае все еще можно использовать Shadowsocks , но вам может потребоваться перестроить свой сервер с новым IP-адресом, если он заблокирован. Последняя рекомендация - использовать ShadowsocksR (SSR) с запутыванием, следуя инструкции, вставленной ниже. Хотя ShadowsocksR все еще можно заблокировать, вероятность его обнаружения меньше. Список приложений ShadowsocksR ShadowsocksR для Windows ShadowsocksR для Android ShadowsocksR для Mac iOS Potatso Lite (БЕСПЛАТНО) iOS Shadowrocket ($ 2,99) Поставщики ShadowSocks Эти компании, очевидно, предоставляют услуги Shadowsocks в Китае: https://shadowtunnelz.com и https://hdsocks.com Как настроить ShadowsocksR на VPS Шаг 1. Получить VPS от Vultr.com. Аренда VPS от Vultr Вам нужна биткойн, кредитная карта, Paypal, Alipay, UnionPay или WeChat Pay Перейдите в «Серверы», нажмите «+» и разверните новый экземпляр. Выберите эти варианты: Сервер: Токио Тип сервера: Debian 7 x64 Пакет: $ 2,50 (самый дешевый, поставляется с 500 ГБ трафика) Дополнительные функции: Включить IPv6 Шаг 2. Установите ShadowsocksR Войдите на свой сервер, используя Putty или любой другой SSH-клиент. wget –no-check-certificate https://raw.githubusercontent.com/teddysun/shadowsocks_install/master/shadowsocks-all.sh chmod + x shadowsocks-all.sh ./shadowsocks-all.sh 2> & 1 | тройник shadowsocks-all.log Сценарий установки сделает все за вас. Выберите опцию 2. ShadowsocksR, выберите пароль и порт (подойдет любой порт). Нажмите ввод и дождитесь его завершения. После того, как это будет сделано, он отобразит конфигурацию. Поздравляем, установка сервера ShadowsocksR завершена! IP вашего сервера: 0.0.0.0 Порт вашего сервера: 8989 Ваш пароль: пароль Ваш метод шифрования: aes-256-cfb Протокол: происхождение obfs: обычный Шаг 3. Редактировать конфиг vi / etc / shadowsocks- r / config .json Нажмите «i», чтобы отредактировать файл. Переместите курсор, чтобы изменить текст. Изменить "protocol": "origin",на "protocol": "auth_sha1_v4",и "obfs": "plain",на"obfs": "tls1.2_ticket_auth", Нажмите «esc», затем введите «: wq!», Чтобы сохранить файл и вернуться назад. Перезапустите shadowsocksr с помощью /etc/init.d/shadowsocks-r restart Шаг 4. Скачать клиент ShadowsocksR для Windows ShadowsocksR для Android ShadowsocksR для Mac iOS Potatso Lite (БЕСПЛАТНО) iOS Shadowrocket ($ 2,99) Запустите его, введите свой IP, порт, пароль и измените протокол и obfs. Готово Шаг 5. Защитите свой доступ по SSH от атак грубой силы Самый простой способ сделать это - использовать iptables iptables -I INPUT -p tcp –dport 22 -i eth0 -m состояние –состояния NEW -m последние –set iptables -I INPUT -p tcp –dport 22 -i eth0 -m состояние –состояния NEW -m последние –обновление –секунды 60 –hitcount 4 -j DROP Это заблокирует IP-адреса, которые пытаются войти более 3 раз в минуту. Он влияет только на «НОВЫЕ» соединения, поэтому правильно аутентифицированные сеансы ssh не будут заблокированы. Другие слухи Shadowsocks в настоящее время запрещены? Вот что сообщает пользователь из Китая: Правительство, похоже, пытается перехватывать, но, видимо, все еще нужно много работать. Они пытались обнаружить эти скрытые сервисы с помощью социальной инженерии, обнаружения и анализа трафика и проактивного обнаружения портов. Тем не менее, некоторые поставщики услуг Shadowsocks также пытаются противостоять этим запретам. Протокол Shadowsocks все еще поддерживается, и в протоколе отсутствует ясное волшебное слово связи, которое нужно обнаружить. Дин Юйфэн Это руководство похоже на настройку, указанную в статье выше, но имеет несколько отличий: https://www.tipsforchina.com/how-to-setup-a-fast-shadowsocks-server-on-vultr-vps-the-easy-way.html Имейте в виду, BBR не работает с OpenVZ. Это работает для KVM, я считаю. Vultr должен быть в порядке, так как руководство также использует Vultr. Дайте мне знать, если этого руководства недостаточно. Для KCP, если вы знакомы с SS / SSR, то это в основном то же самое. https://github.com/xtaci/kcptun По сути, вместо прямого SS (клиент) к SS (сервер), вы идете SS (client) -> Kcp (client) -> Kcp (server) -> SS (server). Страница git имеет достаточно основ. Если у вас есть проблемы с этим, вам может потребоваться некоторое время, чтобы ознакомиться с командной строкой linux / vi или редактором vim.
  18. Спойлер: English version Спойлер: Видео работы софта Спойлер: Видео работы регистратора Спойлер: Отзывы ... ​ ✅ One Dash - софт №1 для Discord | Спамер/Парсер/Инвайтер/Регер
  19. ХОРОШИЕ УСЛОВИЯ ТОПАМ !!! (не обучаю) НАШИ ФЕЙКИ:​ COINS V2 FAKER 5 в 1 1) РАБОТАЕТ С (CS:GO + H1Z1 + DOTA 2 + TF 2 +... ♚⚡ТОПЫ СЮДА⚡coinsv2⚡полная отчетность слива⚡❌бесконечная подмена❌►TOP%◄♚
  20. Конкурс на 30 000 рублей. 1 место - 15к рублей. 2 место - 10к рублей. 3 место 5к рублей. Итоги конкурса... ⇨ Обучаю ⇦ [антикино] [кальян] [отель] [кафе] Быстрые Выплаты♛
  21. Взлом почты на заказ от команды профессионалов. Работаем без предоплаты. Принимаем заказы от mail.ru до сложных корпоративных ящиков, Принимаем заказы на забугор почты. Быстро и Качественно. 10 лет в деле. new! Принимаем заказы на UKR.NET!!!! Взлом почты: • @mаil.ru • @inbox.ru • @list.ru • @bk.ru - 6500 рублей • @yandex.ru -... Взлом почты на заказ без предоплаты. корпоративные адреса, взлом ukr.net.
  22. КАЖДОМУ ДАЮ САЙТЫ КУДА ЗАХОДИЛА ЖЕРТВА STEAM BROWSER ЛИЧНЫЕ БОТЫ НА ДАННЫЙ МОМЕНТ 2 ТУРНИРА И 1 МАРКЕТ ВЫНОСИМ ВСЁ !БЕЗ ОПЫТА НЕ БЕРУ! !РАБОТАЮ БЕЗ НАПАРНИКОВ!​... ⚡amg~team⚡rus/eng⭐подмена⭐2 турнира✨steam browser✨топ дизайны⭐⚡2 конфы⚡
  23. Проценты выплат OLX Оплата - 65% Возврат - 50% ФОРМА 1. Ссылка на профиль форума 2. Опыт в скаме ТЕЛЕГРАМ...​ Dope team | ⇨olx⇦ | моб. дизайн | возвраты | почта | онлайн 24/7
  1. Загрузить ещё активность